Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD LÓGICA
1
Índice.
• Seguridad Informática.
• Controles de Seguridad.
• Políticas de Seguridad.
• Estudios de la Seguridad.
• Seguridad Lógica.
– Seguridad en la Bios y en el Cargador.
– Seguridad Contraseña de Usuarios.
– Accesos y Permisos como Root.
– Servicios Disponibles a través de Red.
– Cortafuegos.
– Archivos de administración relacionados con la seguridad.
• Políticas y Planes de Seguridad.
Bibliografía:
• Red Hat Linux Security Guide, 2002
• Administración de Red Hat Linux, Thomas Schenk, Prentice
Hall, 2001
• Linux Security Basics, Aron Hsiao, Sams, 2001
2
SEGURIDAD
INFORMÁTICA.
3
Seguridad Informática ¿Qué es?
• La información junto con los servicios que presta el sistema
informático es un bien, que al igual que otros importantes activos
económicos, tiene un valor crucial para una organización, por esto,
necesita ser adecuadamente asegurada.
4
Principales tópicos que se estudian en seguridad
• SEGURIDAD LÓGICA
• MÓDULOS DE AUTENTICACIÓN PAM
• CONSOLA
• SEGURIDAD EN SISTEMA DE FICHEROS
• SEGURIDAD FÍSICA
• RAID
• SERVICIOS NFS+SAMBA
• SERVICIOS APACHE+FTP+SMTP
• SSH
• INTRUSIÓN Y RESPUESTA
• LOGS Y AUDITORIAS
• INTEGRIDAD DEL SISTEMA
• ATAQUES A CONTRASEÑAS
• SF CRIPTOGRAFIADO
• FILTROS
5
¿Por qué es importante?
• La información es un activo con valor económico para las empresas,
ya que sustenta la toma de decisiones. Pero además, se sabe que hay
millones de equipos en el mundo enlazados a través de Internet, que
son susceptibles de ataques.
7
Los modelos sobre Políticas de Seguridad se basan en:
8
CONTROLES DE
SEGURIDAD
•Controles Físicos
•Controles Técnicos
•Controles Administrativos
9
Controles Físicos
Técnicas de prevención:
10
Controles Técnicos
Técnicas de prevención:
– Sistemas de encriptación.
– Uso de tarjetas inteligentes.
– Sistema de autentificación de red.
– Listas de Control de Acceso.
11
Controles Administrativos
Técnicas de prevención:
12
POLÍTICAS DE
SEGURIDAD
13
¿Qué son?
• Las Políticas de Seguridad son las reglas y
procedimientos que regulan la forma en que una
organización previene, protege y maneja los riesgos de
daño sobre:
– los computadores de sus sistemas y los elementos físicos
asociados con éstos (edificación, impresoras, discos, cables,
dispositivos de interconexión, etc.),
– el software y la información almacenada en tales sistemas.
– los usuarios del sistema.
16
Seguridad en la red
• Autentificación y contraseñas.
• Copias de seguridad.
19
Seguridad Lógica
20
SEGURIDAD EN LAS ESTACIONES DE
TRABAJO
22
La BIOS
• Las BIOS viejas tiene fama de tener claves universales,
hay que asegurarse que la BIOS es reciente y que no
contiene semejante puerta trasera.
23
Seguridad en la Bios
• Un usuario que puede acceder de modo físico al sistema
puede hacer que el sistema arranque desde un disquete
o un CDROM y entrar en modo single o en modo rescue
y acceder al sistema como root sin contraseña.
24
Seguridad en el Cargador
Contraseña en el cargador
Colocar contraseña en el cargador evita.
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=100
default=linux
image=/boot/vmlinuz-2.2.5
label=linux
root=/dev/hda1
read-only
restricted
password=la_contraseña
29
Seguridad en el Cargador
• Configurando el lilo.conf adecuadamente
junto con la seguridad de la BIOS,
crearemos un sistema bastante seguro.
30
Contraseña en GRUB
Grub es otro cargador que viene con Red Hat, no es tan
estandar pero es editable en línea de comandos y la
contraseña se codifica.
En la línea de comandos escribir
/sbin/grub-md5-crypt
33
Archivo de configuración de cuentas
• El archivo para configurar cuentas de usuario
es /etc/passwd.
• candela:x:101:100:santiago candela:/home/candela:/bin/bash
34
Campos de /etc/passwd
candela:x:101:100:santiago candela:/home/candela:/bin/bash
35
Shadow, Contraseñas ocultas
37
inhabilitar usuarios
• Para inhabilitar una cuenta de usuario basta con
modificar la entrada en /etc/passwd
– candela:x12:100:100:santiago candela:/home/candela:/bin/bash
38
Eliminar sí, pero con seguridad
• Para eliminar el usuario, eliminamos las entradas que
hace referencia a él.
39
Crear contraseñas en un sistema multiusuario.
48
Bloqueo de pantalla
• Programa de bloqueo de pantalla que
no pueda ser desactivado por el
usuario, que se active al cabo de un
cierto tiempo (5 minutos) y exija
contraseña para desbloquearse.
49
Servicios Disponibles a través de la Red
Cada vez que se permite un servicio de red en el computador:
• se abre uno o varios puertos
• se activa un programa (daemond) con su usuario
propietario que permanece a la escucha en esos puertos.
• Por esos puertos pueden venir ataques desde el exterior.
51
Cortafuegos Personales
• Un cortafuegos protege a los usuarios y a la información de
ataques externos. Todo el tráfico se recibe en el cortafuegos.
– Filtro de paquetes
– Cortafuegos proxy
52
Cortafuegos
• En el filtro de paquetes, la información que se
necesita para tomar la decisión sobre que hacer
con ese paquete está en la cabecera.
– El protocolo.
– Etcétera.
53
Cortafuegos
• Los Cortafuegos Proxy redirigen el tráfico
permitido a través del cortafuegos rescribiendo
sus cabeceras.
54
Archivos de administración relacionados
con la seguridad
• Son archivos que limitan el uso de aplicaciones
o servicios.
• Se pueden crear los archivos:
• /etc/host.allow, con el contenido:
ALL:LOCAL
• /etc/host.deny, con el contenido:
ALL:ALL
Con el fin de limitar servicios a determinados hosts
o dominios.
55
Archivos de administración relacionados
con la seguridad
• Ejemplo:
57
Póliticas y Planes de
Seguridad
58
Politicas y planes de seguridad
Cualquier política de seguridad deberá contemplar:
59
Elementos básicos de un plan de seguridad:
61
Tareas de supervisión
• Control de la cuentas de usuario.
• Control de las palabras de paso.
• Garantizar la protección adecuada de los archivos.
• Aumentar los niveles de seguridad mediante utilidades
adicionales de autentificación.
• Limitar los sistemas que se pueden conectar.
• Registrar los intentos fallidos de entrada en el sistema.
• Limitar el acceso a los usuarios durante periodos de
tiempo.
• Finalización automática de sesiones ociosas.
• Hacer uso de los grupos de usuarios (grupos efectivos).
• Evitar los archivos ejecutables con SUID y GID activos.
62
Tareas de supervisión
Minimizar los riegos del software libre:
• Probar el producto como usuario no privilegiado.
• Obtener los ejecutables a partir de la compilación del
código fuente.
• Descomprimir con cuidado el software: examinar y
realizar esta acción en un área segura.
• Examinar el código fuente si es posible.
• Examinar los archivos de construcción del código
objeto y ejecutables (Makefile).
• Antes de proceder a la instalación definitiva, realizar
una de prueba.
• Probar el funcionamiento del software.
• Si se generan archivos con los bits SUID y GUID
activos, comprobar que tengan los privilegios
mínimos necesarios.
63
Procedimientos
64
Procedimientos
66